Mit <kes>+ lesen

Zunahme von proxy-gesteuerten Credential-Stuffing-Angriffen

Der Sicherheitsanbieter Okta hat vor einem drastischen Anstieg von Angriffen auf Online-Dienste gewarnt, die auf das Eindringen mit gestohlenen Zugangsdaten abzielen. In den vergangenen Wochen wurden beispiellose Angriffe beobachtet – befeuert durch die breite Verfügbarkeit von Proxy-Diensten für Privatanwender, Listen mit zuvor gestohlenen Anmeldeinformationen ("Combo-Listen") und Skripting-Tools.

Bedrohungen
Lesezeit 2 Min.

Die Ergebnisse stützen sich auf ein kürzlich veröffentlichtes Advisory von Cisco, in dem vor einer weltweiten Zunahme von Brute-Force-Angriffen auf verschiedene Geräte gewarnt wird, darunter VPN-Dienste (Virtual Private Network), Authentifizierungsschnittstellen für Web-Anwendungen und SSH-Dienste, und zwar mindestens seit dem 18. März 2024.

„Diese Angriffe scheinen alle von TOR-Ausgangsknoten und einer Reihe anderer Anonymisierungstunnel und Proxys auszugehen“, stellte Talos fest und fügte hinzu, dass zu den Zielen der Angriffe VPN-Geräte von Cisco, Check Point, Fortinet, SonicWall sowie Router von Draytek, MikroTik und Ubiquiti gehören.

Okta gab an, dass sein Identity Threat Research zwischen dem 19. und 26. April 2024 einen Anstieg von Credential Stuffing-Aktivitäten gegen Benutzerkonten festgestellt hat, die wahrscheinlich von einer ähnlichen Infrastruktur ausgehen.

Credential Stuffing ist eine Art von Cyberangriff, bei dem Anmeldedaten, die durch eine Datenverletzung bei einem Dienst erlangt wurden, verwendet werden, um sich bei einem anderen, nicht damit verbundenen Dienst anzumelden.

Alternativ können solche Anmeldedaten auch durch Phishing-Angriffe erlangt werden, bei denen die Opfer auf Seiten umgeleitet werden, die Anmeldedaten sammeln, oder durch Malware-Kampagnen, die Informationsdiebe auf den angegriffenen Systemen installieren.

Die so oder so erlangten Anmeldeinformationen werden automatisiert gegen eine Vielzahl von Web-Seiten und -Anwendungen getestet, um auf diejenigen zuzugreifen, für die dieselben Anmeldeinformationen verwendet werden. Da viele Menschen tendenziell dasselbe Passwort für verschiedene Dienste verwenden, können Credential Stuffing-Angriffe effektiv sein, um unautorisierten Zugriff auf Konten zu erlangen.

„Alle jüngsten Angriffe, die wir beobachtet haben, haben eines gemeinsam: Sie beruhen auf Anfragen, die über Anonymisierungsdienste wie TOR geleitet werden“, so Okta. „Millionen von Anfragen wurden auch über eine Reihe von privaten Proxys wie NSOCKS, Luminati und DataImpulse geleitet.“

Residential Proxies (RESIPs) beziehen sich auf Netzwerke legitimer Benutzergeräte, die missbraucht werden, um Datenverkehr im Namen zahlender Abonnenten ohne deren Wissen oder Zustimmung zu leiten, wodurch Bedrohungsakteure ihren bösartigen Datenverkehr verbergen können.

Typischerweise installieren Angreifer Proxy-Tools auf Computern, Handys oder Routern, um sie in ein Botnetz umzuwandeln. Dann vermieten sie diese an Kunden, die ihren Datenverkehr anonymisieren möchten.

Okta erklärt, dass Benutzer manchmal bewusst Proxy-Tools installieren und dafür bezahlen. In anderen Fällen werden ihre Geräte ohne ihr Wissen mit Malware infiziert und in ein Botnetz eingegliedert.

Letzten Monat hat das Satori Threat Intelligence Team von HUMAN mehr als zwei Dutzend bösartige Android-VPN-Apps aufgedeckt, die mobile Geräte mit Hilfe eines eingebetteten Software Development Kits (SDK), das die Proxyware-Funktionalität enthält, in RESIPs verwandeln.

„Das Ergebnis dieser Aktivitäten ist, dass der größte Teil des Datenverkehrs bei diesen Credential Stuffing-Angriffen von den mobilen Geräten und Browsern normaler Nutzer zu stammen scheint und nicht vom IP-Raum der VPS-Anbieter“, so Okta.

Um das Risiko von Kontoübernahmen zu mindern, empfiehlt Okta, dass Unternehmen ihre Nutzer zu starken Passwörtern anhalten, die Zwei-Faktor-Authentifizierung (2FA) aktivieren, Anfragen von Orten, an denen sie nicht tätig sind, und IP-Adressen mit schlechtem Ruf abzulehnen und Unterstützung für Passkeys hinzufügen.

Diesen Beitrag teilen: